Active Directory レプリケーション エラー 8453: レプリケーション アクセスが拒否されました

  • [アーティクル]

この記事では、Active Directory レプリケーションが失敗し、エラー 8453: レプリケーション アクセスが拒否されたという問題のトラブルシューティング方法について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 2022387

注:

ホーム ユーザー: この記事は、テクニカル サポート エージェントと IT プロフェッショナルのみを対象としています。 問題のヘルプを探している場合は、 Microsoft コミュニティに問い合わせてください

概要

このエラー 8453 には、次の主な原因があります。

  • 宛先ドメイン コントローラーには、名前付けコンテキスト/パーティションをレプリケートするために必要なアクセス許可がありません。

  • 手動でレプリケーションを開始した管理者には、これを行うアクセス許可がありません。

    注:

    この条件は、定期的またはスケジュールされたレプリケーションには影響しません。

上位の原因

期間またはスケジュールされたレプリケーションの場合、宛先ドメイン コントローラーが読み取り専用ドメイン コントローラー (RODC) の場合:

Enterprise Read-Only Domain Controllers セキュリティ グループには、レプリケートせず、エラー 8453 を返すパーティションの名前付けコンテキスト (NC) のルートに対するレプリケート ディレクトリ変更 アクセス許可がありません。

トップ ソリューション

RODC がレプリケートせず、エラー 8453 が返される各 NC で、フォレストルート ドメインの Enterprise Read-only Domain Controllers セキュリティ グループに対 する [レプリケート ディレクトリの変更] アクセス許可を付与します。

例:

RODC childdc2.child.contoso.com はパーティションを contoso.com レプリケートせず、エラー 8453 を返します。 この状況をトラブルシューティングするには、次の手順に従います。

  1. ドメイン コントローラーで ADSIEDIT.msc を contoso.com 開きます。

  2. ドメイン NC への接続を contoso.com 開きます (既定の名前付けコンテキスト)。

  3. dc=contoso、dc=com NC のプロパティを開き、[セキュリティ] タブを選択します。

  4. [ 追加] を選択し、テキスト ボックスに次のエントリを入力します。
    Contoso\Enterprise Read-Only ドメイン コントローラー

    注:

    このグループは、フォレスト ルート ドメインにのみ存在します。

  5. [ 名前の確認] を選択し、[ OK] を選択します

  6. [エンタープライズ Read-Only ドメイン コントローラーのアクセス許可] ダイアログ ボックスで、自動的に選択されている [チェックを許可する] ボックスをオフにします。

    • 読み取り
    • ドメイン パスワード & ロックアウト ポリシーの読み取り
    • その他のドメイン パラメーターの読み取り

  7. [ディレクトリの変更のレプリケート] の横にある [許可] ボックスを選択し、[OK] を選択します

これらの手順で問題が解決しない場合は、この記事の残りの部分を参照してください。

現象

この問題が発生すると、次の 1 つ以上の現象が発生します。

  • DCDIAG レプリケーション テスト (DCDIAG /TEST:NCSecDesc) は、テストされたドメイン コントローラーが テスト レプリケーションに失敗し 、状態が 8453: レプリケーション アクセスが拒否されたことを報告します。

    Starting test: Replications  
[Replications Check,<destination domain controller] A recent replication attempt failed:  
From <source DC> to <Destination DC  
Naming Context: <DN path of failing directory partition>  
The replication generated an error (8453):  
Replication access was denied.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
%#% failures have occurred since the last success.  
The machine account for the destination <destination DC>.  
is not configured properly.  
Check the userAccountControl field.  
Kerberos Error.  
The machine account is not present, or does not match on the.  
destination, source or KDC servers.  
Verify domain partition of KDC is in sync with rest of enterprise.  
The tool repadmin/syncall can be used for this purpose.  
......................... <DC tested by DCDIAG> failed test Replications

  • DCDIAG NCSecDesc テスト (DCDIAG /TEST:NCSecDesc) は、DCDIAG によってテストされたドメイン コントローラーが NCSecDec のテストに失敗 し、DCDIAG によってテストされたテスト済みドメイン コントローラー上の 1 つ以上のディレクトリ パーティションの NC ヘッドに 1 つ以上のアクセス許可が見つからないことを報告します。

    Starting test: NCSecDesc  
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have  
Replicating Directory Changes                               <- List of missing access  
Replication Synchronization                                 <- rights required for each Manage Replication Topology                                       <- security group could vary  
Replicating Directory Changes In Filtered Set               <- depending in missing  
access rights for the naming context:                          <- right in your environment  
DC=contoso,DC=com  
Error CONTOSO\Domain Controllers doesn't have  
Replicating Directory Changes All  
access rights for the naming context:  
DC=contoso,DC=com  
Error CONTOSO\Enterprise Read-Only Domain Controllers doesn't have  
Replicating Directory Changes  
access rights for the naming context:  
DC=contoso,DC=com  
......................... CONTOSO-DC2 failed test NCSecDesc

  • DCDIAG MachineAccount テスト (DCDIAG /TEST:MachineAccount) は、ドメイン コントローラー コンピューター アカウントの UserAccountControl 属性にSERVER_TRUST_ACCOUNTフラグまたはTRUSTED_FOR_DELEGATION フラグがないため、DCDIAG によってテストされたドメイン コントローラーが MachineAccount テストに失敗したことを報告します。

    Starting test: MachineAccount  
The account CONTOSO-DC2 is not trusted for delegation . It cannot  
replicate.  
The account CONTOSO-DC2 is not a DC account. It cannot replicate.  
Warning: Attribute userAccountControl of CONTOSO-DC2 is:  
0x288 = ( HOMEDIR_REQUIRED | ENCRYPTED_TEXT_PASSWORD_ALLOWED | NORMAL_ACCOUNT )  
Typical setting for a DC is  
0x82000 = ( SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION )  
This may be affecting replication? 
......................... CONTOSO-DC2 failed test MachineAccount

  • DCDIAG KCC イベント ログ テストは、Microsoft-Windows-ActiveDirectory_DomainService イベント 2896 に相当する 16 進数を示します。

    B50 hex = 2896 decimal。 このエラーは、インフラストラクチャ マスター ドメイン コントローラーで 60 秒ごとに記録される場合があります。

    Starting test: KccEvent  
The KCC Event log test  
An error event occurred. EventID: 0xC0000B50  
Time Generated: 06/25/2010 07:45:07

Event String:  
A client made a DirSync LDAP request for a directory partition. Access was denied due to the following error.

Directory partition:  
<DN path of directory partition>

Error value:  
8453 Replication access was denied.

User Action  
The client may not have access for this request. If the client requires it, they should be assigned the control access right "Replicating Directory Changes" on the directory partition in question.

  • REPADMIN.EXE は、レプリケーション試行が失敗し、8453 状態を返したことを報告します。

    一般的に 8453 状態を示す REPADMIN コマンドには、次のものが含まれますが、以下に限定されません。

    • REPADMIN /KCC

    • REPADMIN /REHOST

    • REPADMIN /REPLICATE

    • REPADMIN /REPLSUM

    • REPADMIN /SHOWREPL

    • REPADMIN /SHOWREPS

    • REPADMIN /SHOWUTDVEC

    • REPADMIN /SYNCALL

      CONTOSO-DC2 から REPADMIN /SHOWREPSCONTOSO-DC1 への受信レプリケーションが失敗し、 レプリケーション アクセスが拒否された エラーを返す出力の例を次に示します。

      Default-First-Site-Name\CONTOSO-DC1  
DSA Options: IS_GC  
Site Options: (none)  
DSA object GUID:  
DSA invocationID:  
DC=contoso,DC=com  
Default-First-Site-Name\CONTOSO-DC2 via RPC  
DSA object GUID: 74fbe06c-932c-46b5-831b-af9e31f496b2  
Last attempt @ <date> <time> failed, result 8453 (0x2105):  
Replication access was denied.  
<#> consecutive failure(s).  
Last success @ <date> <time>.

  • Active Directory サイトとサービス (DSSITE) で レプリケート コマンドが実行されるようになりました 。MSC) は、 レプリケーション アクセスが拒否されたエラーを 返します。

    ソース ドメイン コントローラーから接続オブジェクトを右クリックし、[レプリケート] を選択 すると失敗するようになりました 。 レプリケーション アクセスが拒否されました エラーが返されます。 次のエラー メッセージが表示されます。

    Dialog title text: Replicate Now  
Dialog message text: The following error occurred during the attempt to synchronize naming context <%directory partition name%> from Domain Controller <Source DC> to Domain Controller <Destination DC>:  
Replication access was denied  

The operation will not continue  
Buttons in Dialog: OK

    レプリケーション アクセスが拒否されました。このエラーは、今すぐレプリケート コマンドを実行した後に発生します。

  • NTDS KCC、NTDS General、または 8453 状態の Microsoft-Windows-ActiveDirectory_DomainService イベントは、Active Directory ディレクティブ サービス (AD DS) イベント ログに記録されます。

一般的に 8453 状態を示す Active Directory イベントには、次のイベントが含まれますが、これらに限定されません。

ソース イベント ID イベント文字列
Microsoft-Windows-ActiveDirectory_DomainService 1699 このディレクトリ サービスは、次のディレクトリ パーティションに対して要求された変更を取得できませんでした。 その結果、次のネットワーク アドレスでディレクトリ サービスに変更要求を送信できませんでした。
Microsoft-Windows-ActiveDirectory_DomainService 2896 クライアントがディレクトリ パーティションに対して DirSync LDAP 要求を行いました。 次のエラーが原因でアクセスが拒否されました。
NTDS 全般 1655 Active Directory が次のグローバル カタログと通信しようとしましたが、試行は失敗しました。
NTDS KCC 1265 パラメーターを使用したレプリケーション リンクの確立の試行
パーティション: <パーティション DN パス>
ソース DSA DN: <ソース DC NTDS 設定オブジェクトの DN>
ソース DSA アドレス: <ソース DC 完全修飾 CNAME>
サイト間トランスポート (存在する場合): <dn パス>
次の状態で失敗しました。
NTDS KCC 1925 次の書き込み可能なディレクトリ パーティションのレプリケーション リンクを確立できませんでした。

原因

エラー 8453 (レプリケーション アクセスが拒否されました) には、次のような複数の根本原因があります。

  • 移行先ドメイン コントローラー コンピューター アカウントの UserAccountControl 属性に、次のいずれかのフラグがありません。
    SERVER_TRUST_ACCOUNT または TRUSTED_FOR_DELEGATION

  • オペレーティング システムのセキュリティ コンテキストでスケジュールされたレプリケーションを実行できるようにするため、既定のアクセス許可は 1 つ以上のディレクトリ パーティションに存在しません。

  • 既定またはカスタムのアクセス許可は、ユーザーが DSSITE を使用してアドホックレプリケーションまたは即時レプリケーションをトリガーできるようにするために、1 つ以上のディレクトリ パーティションには存在しません。MSC は、、repadmin /replicaterepadmin /syncallまたは同様のコマンドをレプリケートします。

  • アドホック レプリケーションをトリガーするために必要なアクセス許可は、関連するディレクトリ パーティションで正しく定義されています。 ただし、ユーザーは、レプリケーション ディレクトリの変更アクセス許可が付与されているセキュリティ グループのメンバーではありません。

  • アドホック レプリケーションをトリガーするユーザーは、必要なセキュリティ グループのメンバーであり、それらのセキュリティ グループには ディレクトリ変更のレプリケート アクセス許可が付与されています。 ただし、レプリケート ディレクトリの変更アクセス許可を付与しているグループのメンバーシップは、 ユーザー アカウント制御 の分割ユーザー アクセス トークン機能によってユーザーのセキュリティ トークンから削除されます。 この機能は、Windows Vista と Windows Server 2008 で導入されました。

    注:

    Vista および Windows Server 2008 で導入されたユーザー アカウント制御の分割トークン セキュリティ機能と、Active Directory サービスによって格納されているドメイン コントローラーの役割コンピューター アカウントで定義されている UserAccountControl 属性を混同しないでください。

  • 宛先ドメイン コントローラーが RODC の場合、RODCPREP は現在読み取り専用ドメイン コントローラーをホストしているドメインで実行されていないか、エンタープライズ Read-Only ドメイン コントローラー グループにレプリケートされていないパーティションの ディレクトリ変更のレプリケート アクセス許可がありません。

  • 新しいオペレーティング システム バージョンを実行している DC が、Office Communication Server がインストールされている既存のフォレストに追加されました。

  • ライトウェイト ディレクトリ サービス (LDS) インスタンスがあります。 また、影響を受けるインスタンスの NTDS Settings オブジェクトが LDS 構成コンテナーに存在しません。 たとえば、次のエントリが表示されます。

    CN=NtDs 設定,CN=Server1$ADAMINST1,CN=Server,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,CN={A560B9B8-6B05-4000-9A1F-9A853DB6615A}

Active Directory のエラーとイベント (「 現象 」セクションに記載されているものなど) も発生し、エラー 5 メッセージが生成される場合があります (アクセスが拒否されます)。

解決策 」セクションで説明されているエラー 5 またはエラー 8453 の手順では、現在レプリケーションが失敗し、他のエラー メッセージが生成されているコンピューターでのレプリケーションエラーは解決されません。

エラー 5 メッセージを生成している Active Directory 操作の失敗の一般的な根本原因は次のとおりです。

  • 時間のずれが多すぎる
  • ネットワーク上の中間デバイスによる UDP 形式の Kerberos パケットの断片化
  • ネットワーク権限からこのコンピューターにアクセスできません。
  • セキュリティで保護されたチャネルまたはドメイン内信頼の破損
  • CrashOnAuditFail = レジストリの 2 エントリ

解決方法

この問題を解決するには、次の方法を使用します。

DCDIAG + DCDIAG /test:CheckSecurityError を使用して正常性チェックを実行する

  1. 8453 エラーまたはイベントを報告している宛先 DC で DCDIAG を実行します。
  2. 宛先ドメイン コントローラーが 8453 エラーまたはイベントを報告しているソース ドメイン コントローラーで DCDIAG を実行します。
  3. 宛先ドメイン コントローラーでを実行 DCDIAG /test:CheckSecurityError します。
  4. ソース DC でを実行 DCDIAG /test:CheckSecurityError します。

無効な UserAccountControl を修正する

UserAccountControl 属性には、ユーザーまたはコンピューター アカウントの機能と状態を定義するビットマスクが含まれています。 UserAccountControl フラグの詳細については、「User-Account-Control 属性」を参照してください。

書き込み可能 (完全) DC コンピューター アカウントの一般的な UserAccountControl 属性値は、10 進数 532480 または 82000 16 進数です。 DC コンピューター アカウントの UserAccountControl 値はさまざまですが、次の表に示すように、SERVER_TRUST_ACCOUNTフラグとTRUSTED_FOR_DELEGATION フラグを含める必要があります。

プロパティ フラグ 16 進値 10 進値
SERVER_TRUST_ACCOUNT 0x2000 8192
TRUSTED_FOR_DELEGATION 0x80000 524288
UserAccountControl 値 0x82000 532480

読み取り専用ドメイン コントローラー コンピューター アカウントの一般的な UserAccountControl 属性値は、10 進数または 5001000 16 進数83890176です。

プロパティ フラグ 16 進値 10 進値
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0X4000000 67108864
RODC の一般的な UserAccountControl 値 0x5001000 83890176

  • 宛先ドメイン コントローラーの UserAccountControl 属性にSERVER_TRUST_ACCOUNT フラグがありません

    DCDIAG MachineAccount テストが失敗し、 失敗したテスト MachineAcccount エラー メッセージが返され、テストされたドメイン コントローラーの UserAccountControl 属性に SERVER_TRUST_ACCOUNT フラグがない場合は、テストされたドメイン コントローラーの Active Directory のコピーに不足しているフラグを追加します。

    1. ADSIEDIT を開始します。DCDIAG によって報告された SERVER_TRUST_ACCOUNT が見つからないドメイン コントローラーのコンソール上の MSC。
    2. ADSIEDIT の左上のウィンドウで [ADSIEDIT] を右クリックします。MSC を選択し、[ 接続先] を選択します。
    3. [ 接続設定] ダイアログ ボックスで、[ 既知の名前付けコンテキストの選択] をクリックし、[ 既定の名前付けコンテキスト (コンピューター アカウント ドメイン パーティション)] を選択します。
    4. [ 選択] をクリックするか、ドメインまたはサーバーを入力します。 DCDIAG で失敗しているドメイン コントローラーの名前を選択します。
    5. [OK] を選択します。
    6. ドメインの名前付けコンテキストで、ドメイン コントローラー コンピューター アカウントを見つけて右クリックし、[ プロパティ] を選択します。
    7. UserAccountControl 属性をダブルクリックし、その 10 進値を記録します。
    8. プログラマ モード (Windows Server 2008 以降のバージョン) で Windows 電卓を起動します。
    9. UserAccountControl の 10 進値を入力します。 10 進値を 16 進数に変換し、既存の値に 0x80000 を追加し、等号 (=) を押します。
    10. 新しく計算された UserAccountContorl 値を 10 進数に変換します。
    11. WINDOWS 電卓から ADSIEDIT の UserAccountControl 属性に新しい 10 進値を入力します。Msc。
    12. [ OK] を 2 回選択して保存します。

  • 宛先ドメイン コントローラーの UserAccountControl 属性に、TRUSTED_FOR_DELEGATION フラグがありません

    DCDIAG MachineAccount テストで 失敗したテスト MachineAcccount エラー メッセージが返され、テストされたドメイン コントローラーの UserAccountControl 属性に TRUSTED _FOR_DELEGATION フラグがない場合は、テストされたドメイン コントローラーの Active Directory のコピーに不足しているフラグを追加します。

    1. Active Directory ユーザーとコンピューター (DSA) を開始します。MSC) は、DCDIAG によってテストされたドメイン コントローラーのコンソール上にあります。

    2. ドメイン コントローラー コンピューター アカウントを右クリックします。

    3. [ 委任 ] タブを選択します。

    4. ドメイン コントローラー コンピューター アカウントで、[ 任意のサービスへの委任にこのコンピューターを信頼する (Kerberos のみ)] オプションを 選択します。

      [D C プロパティ] ダイアログ ボックスの [委任] タブの [任意のサービスへの委任用にこのコンピューターを信頼する] オプション。

無効な既定のセキュリティ記述子を修正する

Active Directory 操作は、操作を開始したアカウントのセキュリティ コンテキストで実行されます。 Active Directory パーティションに対する既定のアクセス許可では、次の操作が許可されます。

  • Enterprise Administrators グループのメンバーは、同じフォレスト内の任意のドメイン内の任意のドメイン コントローラー間でアドホック レプリケーションを開始できます。
  • 組み込みの Administrators グループのメンバーは、同じドメイン内のドメイン コントローラー間でアドホック レプリケーションを開始できます。
  • 同じフォレスト内のドメイン コントローラーは、変更通知またはレプリケーション スケジュールを使用してレプリケーションを開始できます。

Active Directory パーティションに対する既定のアクセス許可では、既定では次の操作は許可されません。

  • 1 つのドメインの組み込み Administrators グループのメンバーは、異なるドメイン内のドメイン コントローラーからそのドメイン内のドメイン コントローラーへのアドホック レプリケーションを開始できません。
  • 組み込みの Administrators グループのメンバーではないユーザーは、同じドメインまたはフォレスト内の他のドメイン コントローラーからアドホック レプリケーションを開始することはできません。

設計上、これらの操作は、既定のアクセス許可またはグループ メンバーシップが変更されるまで失敗します。

アクセス許可は、各ディレクトリ パーティション (NC ヘッド) の上部に定義され、パーティション ツリー全体で継承されます。 明示的なグループ (ユーザーが直接メンバーであるグループ) と暗黙的なグループ (明示的なグループが入れ子になったメンバーシップを持つグループ) に必要なアクセス許可があることを確認します。 また、暗黙的または明示的なグループに割り当てられたアクセス許可の拒否が、必要なアクセス許可よりも優先されていないことも確認します。 既定のディレクトリ パーティションの詳細については、「 Configuration Directory Partition の既定のセキュリティ」を参照してください。

  • 失敗し、レプリケーション アクセスが拒否された各ディレクトリ パーティションの上部に既定のアクセス許可が存在することを確認します

    異なるドメイン内のドメイン コントローラー間、またはドメイン以外の管理者の場合は同じドメイン内のドメイン コントローラー間でアドホック レプリケーションが失敗する場合は、「 非ドメイン管理者のアクセス許可の付与 」セクションを参照してください。

    エンタープライズ管理者グループのメンバーに対してアドホック レプリケーションが失敗する場合は、エンタープライズ管理者グループに付与される NC ヘッドアクセス許可に注目してください。

    ドメイン管理者グループのメンバーに対してアドホック レプリケーションが失敗する場合は、組み込みの Administrators セキュリティ グループに付与されるアクセス許可に注目してください。

    フォレスト内のドメイン コントローラーによって開始されたスケジュールされたレプリケーションが失敗し、エラー 8453 が返される場合は、次のセキュリティ グループのアクセス許可に焦点を当てます。

    • エンタープライズ ドメイン コントローラー

    • エンタープライズ Read-Only ドメイン コントローラー

      読み取り専用ドメイン コントローラー (RODC) 上のドメイン コントローラーによってスケジュールされたレプリケーションが開始され、エラー 8453 が返されている場合は、Enterprise Read-Only Domain Controllers セキュリティ グループに、各ディレクトリ パーティションの NC ヘッドに必要なアクセス権が付与されていることを確認します。

      次の表は、さまざまな Windows バージョンによってスキーマ、構成、ドメイン、DNS アプリケーションで定義されている既定のアクセス許可を示しています。

      各ディレクトリ パーティションで DACL が必要 Windows Server 2008 以降
      レプリケーション トポロジの管理 X
      ディレクトリ変更のレプリケート X
      レプリケーションの同期 X
      ディレクトリのレプリケートによってすべての変更が行われます X
      フィルター セットでの変更のレプリケート X

      注:

      DCDIAG NcSecDesc テストでは、システム バージョンが混在する環境で実行すると、誤検知エラーが報告される場合があります。

      DSACLS コマンドを使用すると、次の構文を使用して、特定のディレクトリ パーティションに対するアクセス許可をダンプできます。
      ディレクトリ パーティションの DSACLS <DN パス>

      たとえば、次のコマンドを使用します。

      C:\>dsacls dc=contoso,dc=com

      コマンドは、次の構文を使用してリモート ドメイン コントローラーを対象にすることができます。

      c:\>dsacls \\contoso-dc2\dc=contoso,dc=com

      失敗したユーザーが直接または入れ子になったメンバーであるグループのアクセス許可を削除する NC ヘッドに対する DENY アクセス許可に注意してください。

不足している必要なアクセス許可を追加する

ADSIEDIT で Active Directory ACL エディターを使用します。MSC を使用して、不足している DACLS を追加します。

ドメイン以外の管理者にアクセス許可を付与する

ドメイン以外の管理者に次のアクセス許可を付与します。

  • 非エンタープライズ管理者の同じドメイン内のドメイン コントローラー間でレプリケートするには
  • 異なるドメイン内のドメイン コントローラー間でレプリケートするには

Active Directory パーティションに対する既定のアクセス許可では、次の操作は許可されません。

  • 1 つのドメインの組み込み Administrators グループのメンバーは、異なるドメイン内のドメイン コントローラーからのアドホック レプリケーションを開始できません。
  • 組み込みのドメイン管理者グループのメンバーではないユーザーは、同じドメインまたは異なるドメイン内のドメイン コントローラー間でアドホック レプリケーションを開始します。

これらの操作は、ディレクトリ パーティションに対するアクセス許可が変更されるまで失敗します。

この問題を解決するには、次のいずれかの方法を使用します。

  • ディレクトリ パーティションをレプリケートするために必要なアクセス許可が既に付与されている既存のグループにユーザーを追加します。 (同じドメイン内のレプリケーション用のドメイン管理者を追加するか、Enterprise Administrators グループを追加して、異なるドメイン間でアドホック レプリケーションをトリガーします)。

  • 独自のグループを作成し、そのグループにフォレスト全体のディレクトリ パーティションに必要なアクセス許可を付与し、それらのグループにユーザーを追加します。

詳細については、「 KB303972」を参照してください。 問題のセキュリティ グループに、「 無効な既定のセキュリティ記述子を修正 する」セクションの表に示されているのと同じアクセス許可を付与します。

必要なセキュリティ グループのグループ メンバーシップを確認する

ディレクトリ パーティションに対する必要なアクセス許可が正しいセキュリティ グループに付与されたら、レプリケーションを開始するユーザーに、レプリケーションアクセス許可が付与されている直接または入れ子になったセキュリティ グループの有効なメンバーシップがあることを確認します。 これを行うには、次の手順に従います。

  1. アドホック レプリケーションが失敗し、レプリケーション アクセスが拒否されたユーザー アカウントを使用してログオンします。

  2. コマンド プロンプトで、次のコマンドを実行します。

    WHOAMI /ALL

  3. レプリケートディレクトリに付与されているセキュリティ グループのメンバーシップが、関連するディレクトリ パーティションに対するアクセス許可を変更することを確認します。

    ユーザーが最後のユーザー ログオン後に変更された許可されたグループに追加された場合は、2 回目にログオンし、コマンドをもう WHOAMI /ALL 一度実行します。

    このコマンドで想定されるセキュリティ グループのメンバーシップが表示されない場合は、ローカル コンピューターで管理者特権のコマンド プロンプト ウィンドウを開き、コマンド プロンプトでを実行 WHOAMI /ALL します。

    昇格されたコマンド プロンプトによって生成される出力と管理者特権以外のコマンド プロンプトによってグループ メンバーシップが異なる WHOAMI /ALL 場合は、「 Windows Server 2008 ベースのドメイン コントローラーに対して LDAP クエリを実行する場合は、部分的な属性リストを取得する」を参照してください。

  4. 予期される入れ子になったグループ メンバーシップが存在することを確認します。

    ユーザーが入れ子になったグループのメンバーとしてアドホック レプリケーションを実行するアクセス許可を取得している場合は、レプリケーションのアクセス許可が直接付与されているグループのメンバーである場合は、入れ子になったグループ メンバーシップ チェーンを確認します。 ドメイン管理者グループとエンタープライズ管理者グループが組み込みの Administrators グループから削除されたため、アドホック Active Directory レプリケーションエラーが発生しました。

RODC レプリケーション

コンピューターによって開始されたレプリケーションが RODC で失敗している場合は、実行 ADPREP /RODCPREP 済みであり、Enterprise Read-Only ドメイン コントローラー グループに各 NC ヘッドの [ディレクトリの変更のレプリケート] 権限が付与されていることを確認します。

LDS サーバーの NTDS 設定オブジェクトがありません

Active Directory Lightweight Directory Services (LDS) では、DBDSUTIL でメタデータ クリーンアップを行わずにオブジェクトを削除できます。 この問題が発生する可能性があります。 インスタンスを構成セットに復元するには、影響を受けるサーバー上の LDS インスタンスをアンインストールしてから、ADAM 構成ウィザードを実行する必要があります。

注:

インスタンスの LDAPS サポートを追加した場合は、インスタンスをアンインストールするとサービス インスタンスも削除されるため、サービス ストアで証明書を再度構成する必要があります。